管理数千个没有证书自动化的系统的组织通常难以维护最新的库存，尤其是在依赖电子表格或手动跟踪方法时。

    因此，大多数 SSL 攻击源于证书管理不善问题，包括清单不完整、证书过期、影子证书、配置错误、撤销流程缓慢等。

    考虑证书过期。使用电子表格时，PKI 专业人员必须频繁滚动浏览行以识别需要续订的证书。一些 SOC 专业人员可能会更进一步，为每个证书的到期日期设置警报。虽然后一种过程可能比电子表格更有效，但当员工更换角色、休假或离开公司时，很容易失去连续性。当这种情况发生时，证书会过期并导致停机，还可能造成监管损害。

    手动证书管理还会导致“影子”证书，这些证书不受监控或不被注意。这些影子证书通常发生在非管理员创建和部署证书而未通知 PKI 管理员或 PKI 管理员缺乏足够的可见性时。由于这些证书不被注意，它们很容易受到攻击并成为其他网络攻击的门户。 

    不具备证书自动化功能的组织也经常遭遇配置错误。缺乏结构化和自动化的证书管理意味着缺乏标准政策来指导证书部署过程。这可能会导致加密设置配置错误，从而违背了拥有 SSL 证书的主要目的。

    管理不善导致的 SSL 攻击既有小规模的，也有大规模的。这些攻击可能小到对网站的钓鱼攻击，也可能大到网络间谍活动。后者通常使用 SSL 剥离进行，并且可以持续很长时间而不被发现。

    证书自动化

    通过使用证书自动化工具取代手动流程和/或电子表格，可以增强SSL 证书管理。这对于 Google 最近提出的 90 天 TLS 证书有效期提案尤为重要。没有投资 SSL/TLS 证书管理完整自动化堆栈的企业可能会面临 IT 管理员过度劳累和员工流失率高的风险。

    SSL 证书自动化降低了人为错误的可能性。它为组织提供了证书库存的实时可见性，从而可以快速识别和修复受损证书。  

    Keyfactor Command和EJBCA 企业可为您的整个 PKI 和证书环境提供全面的可见性。 

    它们通过单个控制面板自动管理来自私有、公共或基于云的证书颁发机构 (CA) 的每台机器上的 SSL 证书的生命周期。这有助于降低与 SSL 证书相关的管理不善和潜在漏洞的风险。

    它们还支持迅速撤销受损证书，从而最大限度地减少攻击者的机会。总体而言，它们不仅可以增强安全态势，还可以确保连接不中断。